TLS 1.2-protokollet stöd Deployment Guide for System Center 2012 R2

Sammanfattning

Den här artikeln beskrivs hur du aktiverar Transport Layer Security (TLS) protokollversion 1.2 i en miljö med Microsoft System Center 2012 R2.

Mer Information

Gör så här om du vill aktivera TLS-protokollversion 1.2 i System Center-miljö:

Installera uppdateringar från versionen.

Kommentarer
- Installera den senaste samlade uppdateringen för alla System Center-komponenter innan du tillämpar Update Rollup 14.
  - Installera uppdateringen samlade 13för Data Protection Manager och Virtual Machine Manager.
  - Installera Samlad uppdatering 7för Service Management Automation.
  - Installera Samlad uppdatering 8för System Center Orchestrator.
  - Installera uppdatering samlad 12för Service Provider Foundation.
  - För Service Manager installera Samlad uppdatering 9.
Kontrollera att inställningarna fungerar så som den var före installation av uppdateringar. Till exempel kontrollera om du kan starta konsolen.
Ändra inställningarna om du vill aktivera TLS 1.2.
Kontrollera att alla nödvändiga tjänster för SQL Server körs.

Installera uppdateringar

Uppdatera aktivitet	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Kontrollera att alla aktuella uppdateringar har installerats för Windows Server 2012 R2	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Kontrollera att.NET Framework 4.6 installeras på alla System Center-komponenter	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Uppdateringen krävs SQL Server som stöder TLS 1.2	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Installera nödvändiga uppdateringar för System Center 2012 R2	Ja	Nej.	Ja	Ja	Nej.	Nej.	Ja
Kontrollera att CA-signerat certifikat är SHA1 och SHA2	Ja	Ja	Ja	Ja	Ja	Ja	Ja

¹System Center Operations Manager (SCOM)
²System Center Virtual Machine Manager (SCVMM)
³System Center Data Protection Manager (SCDPM)
⁴System Center Orchestrator (SCO)
⁵Service Management Automation (SMA)
⁶Service Provider Foundation (SPF)
⁷Service Manager (SM)

Ändra inställningarna för

Uppdateringen av tjänstkonfigurationen	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Inställningen i Windows endast TLS 1.2-protokollet ska användas	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Inställningen för System Center endast TLS 1.2-protokollet ska användas	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Ytterligare inställningar	Ja	Nej.	Ja	Ja	Nej.	Nej.	Nej.

.NET Framework

Kontrollera att.NET Framework 4.6 installeras på alla System Center-komponenter. Följdessa instruktionerom du vill göra detta.

Stöd för TLS 1.2

Uppdateringen krävs SQL Server som stöder TLS 1.2. Om du vill göra detta finns i följande artikel i Microsoft Knowledge Base:

3135244 1.2 TLS-stöd för Microsoft SQL Server

Nödvändiga uppdateringar för System Center 2012 R2

SQL Server 2012 Native client 11.0 bör installeras på alla följande System Center-komponenter.

Komponent	Roll
Operations Manager	Management Server och Web konsoler
Virtual Machine Manager	(Krävs inte)
Orchestrator	Management Server
Data Protection Manager	Management Server
Tjänsthanteraren	Management Server

Om du vill hämta och installera Microsoft SQL Server 2012 Native Client 11.0, finns den här webbsidan Microsoft Download Center.

För System Center Operations Manager och Service Manager, måste du ha 11.0 ODBC- eller ODBC-13.0 installerat på alla hanteringsservrar.

Installera nödvändiga uppdateringar för System Center 2012 R2 från följande artikel i Knowledge Base:

4043306 beskrivning av Samlad uppdatering 14 för Microsoft System Center 2012 R2

Komponent	2012 R2
Operations Manager	Update Rollup 14 för System Center 2012 R2 Operations Manager
Tjänsthanteraren	Update Rollup 14 för System Center 2012 R2 Service Manager
Orchestrator	Update Rollup 14 för System Center 2012 R2 Orchestrator
Data Protection Manager	Update Rollup 14 för System Center 2012 R2 Data Protection Manager

Obs! Kontrollera att du expandera innehållet i filen och installerar MSP-filen på motsvarande roll, utom Data Protection Manager. Data Protection Manager installera .exe-filen.

SHA1 och SHA2 certifikat

System Center-komponenter skapar nu både SHA1 och SHA2 självsignerade certifikat. Detta krävs för att aktivera TLS 1.2. Om CA-signerat certifikat används kontrollerar du att certifikaten inte SHA1 och SHA2.

Konfigurera Windows så att endast TLS 1.2

Använd någon av följande metoder för att konfigurera Windows att använda endast protokollet TLS 1.2.

Metod 1: Ändra registret manuellt

Viktigt

Följ noga anvisningarna i detta avsnitt. Om du ändrar registret på felaktigt sätt kan det uppstå allvarliga problem. Innan du ändrar den, Säkerhetskopiera registret för återställning om problem uppstår.

Gör följande om du vill aktivera/inaktivera alla SCHANNEL-protokoll hela systemet. Vi rekommenderar att du aktiverar TLS 1.2-protokollet för inkommande kommunikation och aktivera protokollen TLS 1.2 TLS 1.1 och TLS 1.0 för all utgående kommunikation.

Obs! Att göra dessa ändringar i registret påverkar inte användningen av Kerberos eller NTLM-protokoll.

Starta Registereditorn. Genom att högerklicka på Start, Skriv regedit i rutan Kör och klicka på OK.
Leta upp följande undernyckel i registret:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Högerklicka på nyckeln protokoll , peka på Nyttoch klicka sedan på nyckel.
Ange SSL-3och tryck på RETUR.
Upprepa steg 3 och 4 för att skapa nycklar för TLS 0, TLS 1.1 och 1.2 TLS. Dessa nycklar liknar kataloger.
Skapa en klient och en Server -nyckel under respektive 3 SSL, TLS 1.0, TLS 1.1och 1.2 TLS -nycklar.
Aktivera ett protokoll genom att skapa DWORD-värdet under varje nyckel för klienten och servern så här:

DisabledByDefault [värde = 0]
Aktiverad [värde = 1]
Inaktivera ett protokoll genom att ändra DWORD-värdet under varje nyckel för klienten och servern så här:

DisabledByDefault [värde = 1]
Aktiverad [värde = 0]
Välj Avslutapå Arkiv -menyn.

Metod 2: Ändra registret automatiskt

Kör du följande Windows PowerShell-skript i administratörsläge för att automatiskt konfigurera Windows att använda endast TLS 1.2-protokollet:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Ange System Center att använda endast TLS 1.2

Ange System Center till används endast protokollet TLS 1.2. Genom att först se till att alla förutsättningar är uppfyllda. Konfigurera följande inställningar på System Center-komponenter och andra servrar som agenter har installerats.

Använd någon av följande metoder.

Metod 1: Ändra registret manuellt

Viktigt

Följ noga anvisningarna i detta avsnitt. Om du ändrar registret på felaktigt sätt kan det uppstå allvarliga problem. Innan du ändrar den, Säkerhetskopiera registret för återställning om problem uppstår.

Gör så här om du vill aktivera installationen så att den stöder TLS 1.2-protokollet:

Starta Registereditorn. Genom att högerklicka på Start, Skriv regedit i rutan Kör och klicka på OK.
Leta upp följande undernyckel i registret:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Skapa följande DWORD-värde under denna nyckel:

SchUseStrongCrypto [värde = 1]
Leta upp följande undernyckel i registret:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Skapa följande DWORD-värde under denna nyckel:

SchUseStrongCrypto [värde = 1]
Starta om systemet.

Metod 2: Ändra registret automatiskt

Kör du följande Windows PowerShell-skript i administratörsläge för att automatiskt konfigurera System Center om du vill använda endast TLS 1.2-protokollet:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Ytterligare inställningar

Operations Manager

Management Pack

Importera hanteringspaket för System Center 2012 R2 Operations Manager. Dessa finns i följande katalog efter installation av uppdatering server:

\Program\Microsoft system Center 2012 R2\Operations Manager\Server\Management paket för samlade uppdateringar

ACS-inställningar

För granskning Collection Services (ACS) måste du göra ytterligare ändringar i registret. ACS använder DSN för att skapa anslutningar till databasen. Du måste uppdatera DSN-inställningarna så att de fungerar för TLS 1.2.

Leta upp följande undernyckel för ODBC i registret.

Obs! Standardnamnet för DSN är OpsMgrAC.
Välj posten för DSN-namnet OpsMgrACi undernyckeln för ODBC-datakällor . Detta innehåller namnet på den ODBC-drivrutin som ska användas för databasanslutningen. Om du har ODBC 11.0 installerat ändra namnet till 11 av ODBC-drivrutinen för SQL Server. Eller om du har en ODBC-13.0 installerat kan ändra det här namnet till 13 av ODBC-drivrutinen för SQL Server.
Uppdatera posten för drivrutinen för ODBS-version som är installerad i undernyckeln OpsMgrAC .
- Om ODBC-11.0 installeras, ändra posten drivrutin till %WINDIR%\system32\msodbcsql11.dll.
- Om ODBC-13.0 är installerat, kan du ändra posten drivrutin till %WINDIR%\system32\msodbcsql13.dll.
- Du kan också skapa och spara följande REG-filen i anteckningar eller någon annan textredigerare. Dubbelklicka på filen om du vill köra sparade REG-filen.
  
  Skapa följande ODBC-11.0.reg fil för ODBC 11.0:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Skapa följande ODBC-13.0.reg fil för ODBC-13.0: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-tjänsthärdning i Linux

Följ instruktionerna på webbplatsen för lämpligt att konfigurera TLS 1.2 i Red Hat eller Apache miljön.

Data Protection Manager

Aktivera dessa steg på Data Protection Manager-server om du vill aktivera Data Protection Manager ska fungera tillsammans med TLS 1.2 säkerhetskopiera till molnet.

Orchestrator

Efter Orchestrator uppdateringar installeras, konfigurera Orchestrator-databasen med hjälp av den befintliga databasen enligt dessa riktlinjer.

Tjänsthanteraren

Före Service Manager installeras, installera de nödvändiga paketen och konfigurera om registernyckelvärdena som beskrivs i den ” Före installationen ”instruktionsavsnittet KB 4024037 .

, Även om du övervakar System Center Service Manager med hjälp av System Center Operations Manager, uppdatera till den senaste versionen (v 7.5.7487.89) av övervakning Management Pack för TLS 1.2 support:

Microsoft System Center Management Pack för System Center Service Manager

Service Management Automation (SMA)

Om du övervakar Service Management Automation (SMA) med hjälp av System Center Operations Manager, uppdatera till den senaste versionen av övervakning Management Pack för TLS 1.2-stöd:

System Center Management Pack för System Center 2012 R2 Orchestrator - Service Management Automation

Ansvarsfriskrivning för tredje parts kontakt

Microsoft tillhandahåller kontaktinformation för tredje part som hjälper dig att hitta ytterligare information om detta ämne. Denna information kan ändras utan föregående meddelande. Microsoft kan inte garantera riktigheten av tredje parts kontaktinformation.